Red Hat Certified Engineer 8 備考第十六天 多路訪問？

時間：2019年8月10日

地點：家裏

內容：Squid、OpenLDAP部署。

Squid     Squid是Linux系統中最爲流行的一款高性能代理服務軟件，一般用做Web網站的前置緩存服務，可以代替用戶向網站服務器請求頁面數據並進行緩存。

     正向代理     所謂正向代理模式，是指讓用戶經過Squid服務程序獲取網站頁面等資源，以及基於訪問控制列表（ACL）功能對用戶訪問網站行爲進行限制，在具體的服務方式上又分爲標準代理模式與透明代理模式。 （結構示意圖以下）

    

     反向代理     反向代理模式是指讓多臺節點主機反向緩存網站數據，從而加快用戶訪問速度。（結構示意圖以下）

    

     Squid配置文件路徑：/etc/squid/squid.conf

#acl all src 0.0.0.0/0.0.0.0 and http_access allow all選項定義了一個訪問控制列表。詳細狀況參見和Squid軟件
#攜帶的文檔。這裏的訪問控制列表容許全部對代理服務的訪問，由於這裏該代理是加快web服務器。
acl all src 0.0.0.0/0.0.0.0                                    #容許全部IP訪問
acl manager proto http                                    #manager url協議爲http
acl localhost src 127.0.0.1/255.255.255.255     #允午本機IP
acl to_localhost dst 127.0.0.1                           #允午目的地址爲本機IP
acl Safe_ports port 80                                      # 容許安全更新的端口爲80
acl CONNECT method CONNECT                   #請求方法以CONNECT
http_access allow all                                       #容許全部人使用該代理.由於這裏是代理加快web服務器
http_reply_access allow all                             #容許全部客戶端使用該代理
acl OverConnLimit maxconn 16                     #限制每一個IP最大容許16個鏈接，防止攻擊
icp_access deny all                                         #禁止從鄰居服務器緩衝內發送和接收ICP請求.
miss_access allow all                                      #容許直接更新請求
ident_lookup_access deny all                        #禁止lookup檢查DNS
http_port 8080 transparent                           #指定Squid監聽瀏覽器客戶請求的端口號。
hierarchy_stoplist cgi-bin ?                           #用來強制某些特定的對象不被緩存，主要是處於安全的目的。
cache_mem 1 GB                                           #這是一個優化選項，增長該內存值有利於緩存。應該注意的是：
                                                                      #通常來講若是系統有內存，設置該值爲(n/)3M。如今是3G 因此這裏1G
fqdncache_size 1024                                     #FQDN 高速緩存大小
maximum_object_size_in_memory 2 MB      #容許最大的文件載入內存
memory_replacement_policy heap LFUDA   #動態使用最小的，移出內存cache
cache_replacement_policy heap LFUDA       #動態使用最小的，移出硬盤cache
cache_dir ufs /home/cache 5000 32 512      #高速緩存目錄 ufs 類型 使用的緩衝值最大允午1000MB空間，
                                                                      #32個一級目錄，512個二級目錄
max_open_disk_fds 0                                    #容許最大打開文件數量,0 無限制
minimum_object_size 1 KB                           #允午最小文件請求體大小
maximum_object_size 20 MB                       #允午最大文件請求體大小
cache_swap_low 90                                      #最小容許使用swap 90%
cache_swap_high 95                                    #最多容許使用swap 95%
ipcache_size 2048                                        # IP 地址高速緩存大小 2M
ipcache_low 90                                            #最小容許ipcache使用swap 90%
ipcache_high 95                                          #最大容許ipcache使用swap 90%
access_log /var/log/squid/access.log squid        #定義日誌存放記錄
cache_store_log none                                 #禁止store日誌
emulate_httpd_log on                                #將使Squid仿照Web服務器的格式建立訪問記錄。若是但願使用
                                                                   #Web訪問記錄分析程序，就須要設置這個參數。
refresh_pattern . 0 20% 4320 override-expire override-lastmod reload-into-ims ignore-reload   #更新cache規則
acl buggy_server url_regex http://                          #只容許http的請求
acl apache rep_header Server ^Apache                 #容許apache的編碼
request_entities off                                                 #禁止非http的標分準請求，防止攻擊
header_access header allow all                              #容許全部的http報頭
relaxed_header_parser on                                      #不嚴格分析http報頭.
client_lifetime 120 minute                                     #最大客戶鏈接時間 120分鐘
cache_mgr sky@test.com                                      #指定當緩衝出現問題時向緩衝管理者發送告警信息的地址信息。
cache_effective_user squid                                   #這裏以用戶squid的身份Squid服務器
icp_port 0                                                             #指定Squid從鄰居服務器緩衝內發送和接收ICP請求的端口號。
                                                                             #這裏設置爲0是由於這裏配置Squid爲內部Web服務器的加速，
                                                                             #因此不須要使用鄰居服務器的緩衝。0是禁用
                                                                             # cache_peer 設置容許更新緩存的主機，因是本機因此127.0.0.1
cache_peer 127.0.0.1 parent 80 0 no-query default multicast-responder no-netdb-exchange
cache_peer_domain 127.0.0.1                                 
hostname_aliases 127.0.0.1
error_directory /usr/share/squid/errors/Simplify_Chinese        #定義錯誤路徑
always_direct allow all                                                                # cache丟失或不存在是容許全部請求直接轉發到原始服務器
ignore_unknown_nameservers on                                             #開反DNS查詢，當域名地址不相同時候，禁止訪問
coredump_dir  /var/log/squid                                                   #定義dump的目錄
max_filedesc 2048                                                                     #最大打開的文件描述
half_closed_clients off                                                               #使Squid在當read再也不返回數據時當即關閉客戶端的鏈接。
                                                                                                  #有時read再也不返回數據是因爲某些客戶關閉TCP的發送數據
                                                                                                  #而仍然保持接收數據。而Squid分辨不出TCP半關閉和徹底關閉。
buffered_logs on                                                                       #若打開選項「buffered_logs」能夠稍稍提升加速某些對日誌文件的寫入，該選項主要是實現優化特性。

openLDAP部署     輕量級目錄訪問協議LDAP(Lightweight Directory Access Protocol)是在目錄訪問協議X.500的基礎上研發的，主要的優點是：

          X.500目錄協議功能很是臃腫，消耗大量資源，沒法作到快速查詢且不支持TCP/IP協議網絡。

    

     LDAP樹狀結構存儲數據

     dn：每一個條目的惟一標識。

     rdn：dn左側部分

     base DN：基準DN值，頂層根部。

    

     在LDAP目錄服務中使用LDIF(LDAP Interchange Format)格式來保存信息，而LDIF是一種標準的文本文件且能夠隨意的導入導出，因此咱們須要有一種「格式」標準化LDIF文件的寫法，這中格式叫作「schema」，schema用於指定一個目錄中所包含對象的類型，以及每個類型中的可選屬性，咱們能夠將schema理解爲面向對象程序設計中的「類」，經過「類」定義出具體的對象，所以其實LDIF數據條目則都是經過schema數據模型建立出來的具體對象：

     ldapadd     ldapadd命令用於將LDIF文件導入到目錄服務數據庫中，格式爲：「 ldapadd [選項] LDIF文件 」。

          -x   進行簡單認證
          -D   用來綁定服務器的DN
          -h   目錄服務的地址
          -w   綁定DN的密碼
          -f   使用ldif文件進行條目添加的文件

書面筆記